VLAN mit Schnittstellen-Tag keine DNS-Auflösung

[HuTcH]

Hallo zusammen,

ich habe ein Problem mit VLANs und DNS-Auflösung. Zwar sind im Forum eine Vielzahl an Beiträgen, so richtig schlau wurde ich daraus aber nicht.

Kurzbeschreibung:

• VLANs meines erachtens soweit richtig angelgt, nur sobald ich zum trennen der Netzte ein Schnittstellen-Tag setze geht in dem jeweiligen VLAN mit Schnittstellen-Tag ungleich 0 keine DNS-Auflösung mehr.
• Traceroute und Ping auf z.B. 8.8.8.8 funktionieren, URLs jedoch nicht.
• nslookup scheitert:

  Code: Alles auswählen

  nslookup google.de
  Server:  1790-4G+.intern
  Address:  192.168.40.1
  
  *** google.de wurde von 1790-4G+.intern nicht gefunden: Server failed.

Setup:
Router:

• Hardware: 1790-4G+ (10.72.0484RU6)
• Fungiert als DHCP- und DNS-Server, DNS-Weiterleitung ist aktiviert
• VLAN-Modul deaktiviert
• IP-Netzwerke definiert (zu DMZ und Intranet mit VLAN-ID 0 drei weitere mit VLAN-ID 10, 30 und 40), 192.168.[xx].xxx mit VLAN-ID [xx], alle an Schnittstelle LAN-1
• Entsprechende DHCP-Netzwerke angelegt
• Ethernet-Ports Interface LAN-1 zugewiesen

Router ist über ETH-3 mit Switch Port 25 verbunden, ETH-1 und ETH-2 nichts angeschlossen.

Switch

• Hardware: GS-2326P+ (Firmware v3.34.0101RU2)
• VLANs analog zu Router angelegt und die Port-Members gesetzt (default mit VLAN-ID 1 auch vorhanden)
• Ports:
  • Port-Type: C-port
  • Egress Rule: Port 21-26 Hybrid, alle anderen Access (PVID ensprechend gesetzt)
  • Port 21 und 22 führen zu Accesspoints (LW-600), wobei im Moment nur Port 21 genutzt
  • Port 23/24 im Moment nichts verbunden
  • Port 25 führt zum Router, 26 soll später zu weiterem Switch

Access-Point

• Hardware: LW-600 (Firmware 6.14.0035Rel)
• Zwei SSIDs mit jeweiliger VLAN-ID (Intranet und Gast)
• Ethernet-Einstellungen, Bezug über DHCP und VLAN-ID 0

Als Resultat in Lan-Monitor werden die einzelnen Geräte wie gewünscht in den einzelnen VLANs im passendem IP-Netzwerk aufgeführt (Gast-Netz hat als Versuchbalon das Schnittstellentag gesetzt bekommen):

DNSProblem_Netzwerke_Uebersicht.png

Ich habe gelesen, dass sobald die Schnittstellen-Tags gesetzt werden, das ARF zur Anwendung kommt. Hierzu habe ich leider gar keine Erfahrung. Müssen IP-Routen oder Firewall-Regeln hinzugefügt werden, damit es funktioniert? Was mich diesbezüglich aber verwirrt ist, dass die Internetverbindung an sich ohne etwas zu ändern aber zu funktionieren scheint.

Im voraus schonmal vielen Danke für jede erdenkliche Hilfe.

Grüße,
HuTcH

[Dr.Einstein]

Trag mal unter DNS / Allgemein / Weiterleitungen

Domäne: *
Routing-Tag: Schnittstellen-Tag, dass das Netzwerk hat
Gegenstelle: 8.8.8.8 8.8.4.4 (lass dich nicht vom Drop Down ablenken, kannst die IPs direkt eintragen)

ein

[HuTcH]

Hi Dr. Einstein,

danke für die rasche Antwort.

Habe die entsprechende Weiterleitung eignetragen und erhalte nun folgende Meldung beim nslookup:

Code: Alles auswählen

nslookup google.de
Server:  1790-4G+.intern
Address:  192.168.40.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an 1790-4G+.intern.

[Dr.Einstein]

Keine passende Route? Kann sein, dass du dann noch das Tag der passenden Route an die DNS-IPs hängen musst ala 8.8.8.8@0 8.8.4.4@0

Hilfreich in diesem Zusammenhang kann auch ein DNS Trace sein via SSH:

Code: Alles auswählen

trace # dns

[HuTcH]

Die Ergänzung mit @0 hat leider auch nicht geholfen. Ich hoffe ich habe aus der trace-Befehl-Ausgabe den richtigen Teil herausgepickt...

Der trace ohne Weiterleitung (nslookup google.de):

Code: Alles auswählen

[DNS] 2023/12/29 17:17:25,306
DNS Rx (GAST): Src-IP 192.168.40.37, RtgTag 40
Transaction ID: 0x0002
Flags: 0x0100 (Standard query, No error)
Queries
  google.de.intern: type A, class IN

STD A for google.de.intern
Not found in local DNS database, query to own domain => not forwarded


[DNS] 2023/12/29 17:17:25,309
DNS Rx (GAST): Src-IP 192.168.40.37, RtgTag 40
Transaction ID: 0x0003
Flags: 0x0100 (Standard query, No error)
Queries
  google.de.intern: type AAAA, class IN

STD AAAA for google.de.intern
Not found in local DNS database, query to own domain => not forwarded


[DNS] 2023/12/29 17:17:25,312
DNS Rx (GAST): Src-IP 192.168.40.37, RtgTag 40
Transaction ID: 0x0004
Flags: 0x0100 (Standard query, No error)
Queries
  google.de: type A, class IN

STD A for google.de
Not found in local DNS database => forward to next server


[DNS] 2023/12/29 17:17:25,312 [info] :
create new destination map entry for default route with routing tag 40
DestinationMapEntry for default route with routing tag 40 created
IPv4 destination: INTERNET_DSLITE
no IPv4 DNS server available
create new source map entry for 192.168.40.37
DestinationMapEntry for default route with routing tag 40 destroyed

[DNS] 2023/12/29 17:17:25,313 [info] :
no dns server available on default route
return Server failure

und der Trace mit Weiterleitung (nslookup mit timeout):

Code: Alles auswählen

[DNS] 2023/12/29 17:23:59,570
DNS Rx (GAST): Src-IP 192.168.40.37, RtgTag 40
Transaction ID: 0x0002
Flags: 0x0100 (Standard query, No error)
Queries
  google.de.intern: type A, class IN

STD A for google.de.intern
Not found in local DNS database, query to own domain => not forwarded


[DNS] 2023/12/29 17:23:59,574
DNS Rx (GAST): Src-IP 192.168.40.37, RtgTag 40
Transaction ID: 0x0003
Flags: 0x0100 (Standard query, No error)
Queries
  google.de.intern: type AAAA, class IN

STD AAAA for google.de.intern
Not found in local DNS database, query to own domain => not forwarded


[DNS] 2023/12/29 17:23:59,578
DNS Rx (GAST): Src-IP 192.168.40.37, RtgTag 40
Transaction ID: 0x0004
Flags: 0x0100 (Standard query, No error)
Queries
  google.de: type A, class IN

STD A for google.de
DnsGetDest: Match found: forwarding google.de to 8.8.8.8@0 8.8.4.4@0
Not found in local DNS database => forward to next server


[DNS] 2023/12/29 17:23:59,578 [info] :
create new source map entry for 192.168.40.37
using DNS server 8.8.8.8

Wenn ich das richtig interpretiere klappt das forwarding aber die Antwort kommt nicht an?

[Dr.Einstein]

Du brauchst denke ich @40 als Endung für die DNS Einträge.

[HuTcH]

Abend Dr. Einstein,

leider hat auch diese Anpassung nichts gebracht. 4 Versuche die mit timeout enden. Im tracer wechselt er bei den Versuchen zwischen der 8.8.8.8 und 8.8.4.4.

Code: Alles auswählen

[DNS] 2023/12/29 23:05:44,915
DNS Rx (GAST): Src-IP 192.168.40.37, RtgTag 40
Transaction ID: 0x0002
Flags: 0x0100 (Standard query, No error)
Queries
  google.de: type A, class IN

STD A for google.de
DnsGetDest: Match found: forwarding google.de to 8.8.8.8@40 8.8.4.4@40
Not found in local DNS database => forward to next server


[DNS] 2023/12/29 23:05:44,915 [info] :
create new source map entry for 192.168.40.37
using DNS server 8.8.8.8

[Dr.Einstein]

Dann haut denke ich etwas mit der Routing Tabelle <-> Gegenstelle INTERNET_DSLITE nicht hin. Kannst du mal deine Rtg Tabelle posten?

[HuTcH]

Du meinst die für IPv4:

routing_table.png

[Dr.Einstein]

Da es ein Gastnetzwerk ist, irgendwelche Firewallregeln aktiv? Bei einer internen DNS-Weiterleitung greifen leider anders als sonst für diesen internen Dienst Regelwerke. Das @40 kannst du dann weglassen, gibt keine Route mit 40.

[HuTcH]

Die Firewall-Regeln orientieren sich an https://support.lancom-systems.com/know ... d=32982115 und entählt eigenltich nichts spezifisches für das VLAN/Schnittstellen-Tag.

ipv4_firewall.png

[Dr.Einstein]

Deaktiviere mal die komplette Firewall und versuch es erneut.

[HuTcH]

Das deaktiviren der Firewall hat leider auch nichts geholfen.

Mit Wireshark ist mir auch nichts weiteres aufgefallen, außer das viele DNS-Anfragen vom Client an den Router gesendet werden und der Router nur die mit .intern mit "No such name A www.xyz.de.intern" beantwortet.

Wenn in den DHCP-Settings im Router unter "Erster DNS" statt die IP des Routers (192.168.40.1) direkt die 8.8.8.8 eintrage ist geht es.

[LukiTJ]

Gemäß der trace Ausgaben kennt der Router keinen DNS Server unter einer IPv4 Adresse. Da es ein wohl DS-Lite Anschluss ist, kann ich mir gut vorstellen, dass die DNS Server vom Provider nur über IPv6 rausgegeben werden.

Versuche mal folgendes:

Unter DNS -> Allgemein -> Weiterleitungen legs du mal einen Eintrag für RT40 an:

dns_rt_forum_beispiel1.png

Die Zwei Google DNS Server 8.8.8.8 und 8.8.4.4 sind mit einem Leerzeichen getrennt.

Ich würde in den Allgemeinen DNS Einstellungen auch unter Tag-Kontext-Tabelle einen Eintrag pro Routing Tag anlegen.

dns_rt_forum_beispiel2.png

Das wird vermutlich aber nur notwendig sein, wenn man für den Kontext abweichende Einstellungen als die der globalen Konfiguration benötigt.


Bisher hatte ich noch keine Gelegenheit mit VRFs unter LANCOM zu arbeiten, daher alle Angaben ohne Gewähr.

[HuTcH]

Hallo und erstmal noch ein gutes neues Jahr!

Die DNS-Weiterleitung in der Art hatten wir ja schon probiert und hat auch in Kombination mit dem Kontext-basiertem Routing nicht geholfen. Ein nslookup führt weiterhin zum timeout.

Trotzdem danke!